Sicher unterwegs mit Android?

Android_robot_2014.svgBetriebssysteme, egal ob für Rechner oder für Smartphones, ob für Windows, Apple oder Linux haben immer wieder Sicherheitslücken. Dies ist nicht weiter dramatisch, sofern die Lücken rechtzeitig mit Updates geschlossen werden können. Doch genau das ist der Knackpunkt bei vielen Android-Geräten, denn viele Hersteller stellen Updates für ihre Geräte entweder gar nicht oder nur nach unverantwortlich langer Wartezeit zur Verfügung. Dies führt dazu, dass viele Smartphone-Nutzer ein Gerät mit sich herumtragen, das man als eine einzige Sicherheitslücke bezeichnen kann. Hat man im Hinterkopf wie viele Daten auf einem modernen Smartphone gespeichert sind [siehe dazu: Grundlagen: Mobilgeräte] und schaut man sich einige Sicherheitslücken der letzten Monate an, kann man zurecht von einem Sicherheitsdesaster ausgehen.

Auswahl von gravierenden Sicherheitslücken der letzten Monate:

  • stagefright_v2_breakdown-e1438001259526-1024x266Die wohl bekannteste Lücke der letzten Monate war der Stagefright-Bug. Dabei handelt es sich um mehrere Lücken in der Medienbibliothek von Android. Sie können durch eine bösartige Mediendatei, die z.B. über eine MMS ausgeliefert wird, ausgenutzt werden und ermöglichen danach je nach Lücke und Android-Version einen weitreichenden Zugriff auf das System. Bei einer Auslieferung über MMS wird die Sicherheitslücke aktiv ohne das ein Zutun des Nutzers erforderlich ist. Zum Zeitpunkt des öffentlichen Bekanntwerdens der Lücke waren nach Schätzungen bis zu 95% der Android-Geräte betroffen. Die Telekom schaltete aus diesem Grund den automatischen Download von MMS ab. Ob man selbst von der Lücke betroffen ist, kann man der kostenlosen APP „Stagefright Detector“ von Zimperium (den Entdeckern der Lücke) herausfinden. Von Zimperium stammt ebenfalls ein Youtube-Video, dass zeigt wie die Lücke in der Praxis funktioniert.
  • Neben dem Stagefright machte auch das sogenannte „Certifi-Gate“ auf sich aufmerksam. Zwei Mitarbeiter von Check Point hatten herausgefunden, dass sich durch Lücken in Fernwartungsapps, wie AnySupport, CommuniTake, RSupport oder TeamViewer, die komplette Kontrolle über Android-Geräte übernehmen lässt. Im Falle von CommuniTake sogar per SMS.
  • Weitere Sicherheitslücken kann man den Nexus Security Bulletins entnehmen und sich dabei fragen, ob man Patches für die Lücken erhalten hat.

Für Geräte, die keine Updates vom Hersteller mehr erhalten, kann man über einen Wechsel des Betriebssystems nachdenken und z.B. auf Cyanogenmod umsteigen. Ob es für das eigene Handy eine Cyanogenmod-Version gibt, kann man auf dieser Seite herausfinden. Dort findet man auch genaue Informationen zur Installation. Eine besonders gute Lösung ist die Installation des alternativen Betriebssystems Copperhead OS, das von einem gleichnamigen IT-Sicherheitsunternehmen in Kanada entwickelt wird. Neben aktuellen Sicherheitsupdates haben die Entwickler weitere Sicherheitsfeatures implementiert, die Copperhead OS wohl zum sichersten frei-verfügbaren Betriebssystem für Android-Geräte macht. Leider ist es nur für Nexus-Geräte aus dem Hause Google verfügbar. Erhält man auch über ein alternatives Betriebssystem keine Updates mehr, bleibt nur noch die Neuanschaffung eines Geräts, wobei man darauf achten sollte, ein Gerät zu kaufen, dass zumindest noch für einige Zeit mit Sicherheitsupdates beliefert wird oder zumindest die aktuelle Version von Cyanogenmod eines alternativen Betriebssystems unterstützt.

Update – 27.12.16: Die Entwicklung von Cyanogenmod wurde eingestellt. Das Projekt wird jedoch unter dem Namen „Lineage OS“ weitergeführt. Einige Hintergrundinformationen dazu gibt es hier.